訪問控制（相關概述）

訪問控制

訪問控制是指在鑑別使用者的合法身份後，通過某種途徑准許或限制使用者對資料資訊的訪問能力及範圍，阻止未經授權的資源訪問，包括阻止以未經授權的方式使用資源。

三個要素

訪問控制包含三個要素，即主體、客體和訪問策略。

主體是指乙個發出請求或要求的實體。主體可以是某個使用者，也可以是使用者啟動的程序、服務或裝置。

客體是接受其他實體訪問的被動實體。凡是可以被操作的資訊、資源、物件都可以被看作客體。

控制策略是主體對客體的訪問規則集，限制主體對客體的訪問許可權。

訪問控制模型

(1)自主訪問控制(dac)

dac是在確認主體身份及所屬組的基礎上，根據訪問者的身份和授權來決定訪問模式、對訪問進行限定的一種控制策略。dac策略允許對客體擁有控制權的主體明確地指定其他主體對該客體的訪問許可權。

「自主」的含義是這種策略允許有某種訪問特權的主體把對客體的訪問許可權傳遞給其他主體。

自主訪問控制模型（dac model）是根據自主訪問控制策略建立的一種模型，允許合法使用者以使用者或使用者組的身份訪問策略規定的客體，同時阻止非授權使用者訪問客體，某些使用者還可以自主地把自己所擁有的對客體的訪問許可權授予其他使用者。

(2)強制訪問控制(mac)

強制訪問控制模型是一種多級訪問控制策略，系統事先給所有的主體和客體指定不同的安全級別，比如絕密級、機密級、秘密級和無密級。在實施訪問控制時，系統先對主體和客體的安全級別進行比較，再決定主體能否訪問該客體。並且這些安全屬性是不能改變的，它由管理部門或由作業系統自動地按照嚴格的規則來設定，不像自主訪問控制那樣由使用者或它們的程式直接或間接地修改。

強制訪問系統根據主體和客體的敏感標記來決定訪問模式。訪問模式包括：

下讀（read down）：使用者級別大於檔案級別的讀操作；

上寫（write up）：使用者級別小於檔案級別的寫操作；

下寫（write down）：使用者級別等於檔案級別的寫操作；

上讀（read up）：使用者級別小於檔案級別的讀操作。

由於mac通過分級的安全標籤實現了資訊的單向流通，因此，一直被軍方採用，其中，最著名的是bell-la padula模型和biba模型：bell-la padula模型具有只允許向下讀、向上寫的特點，可以有效地防止機密資訊向下級洩露；biba模型則具有不允許向下讀、向上寫的特點，可以有效地保護資料的完整性。

(3)基於角色的訪問控制（rbac）

基於角色的訪問控制通過引入角色的概念，把對客體物件的訪問許可權授予角色而不是直接授予使用者，然後為使用者分配角色，使用者通過角色獲得訪問許可權。

(4)基於任務的訪問控制（tbac）

而基於任務的訪問控制是從企業的工作流處理角度來解決安全問題，當資料在工作流中流動時，執行相關任務活動操作的使用者在改變，使用者的許可權也在改變，這些變化都與資料處理的上下文環境相關。因此，tbac的目的是從任務的角度來建立安全模型和實現安全機制，在任務處理的過程中提供動態實時的安全管理。優點是在進行許可權的控制時考慮到執行的上下文環境發生變化的問題。

(5)基於物件的訪問控制（obac）

obac模型從受控物件的角度出發，將主體的訪問許可權直接與受控物件相關聯，一方面定義物件的訪問控制表，增、刪、修改訪問控制項易於操作;另一方面，當受控物件的屬性發生改變，或者受控物件發生繼承和派生行為時，無須更新訪問主體的許可權，只需要修改受控物件的相應訪問控制項即可，從而減少了主體的許可權管理，減輕了由於資訊資源的派生、演化和重組等帶來的分配、設定角色許可權等的工作量。

安全訪問控制策略實現方式

基於身份的安全策略

基於規則的安全策略

安全策略

訪問控制（相關概述）

TCP Wrappers 訪問控制概述

類訪問控制（包括copy機制相關）

訪問控制模型強制訪問控制

訪問控制（相關概述）

TCP Wrappers 訪問控制概述

類訪問控制（包括copy機制相關）

訪問控制模型 強制訪問控制

相關推薦

訪問控制模型強制訪問控制